中国APT15が英国の軍事文書を奪取しました

中国APT15が英国の軍事文書を奪取しました

uirer.net/inquirer/news/3028349/chinese-apt15-hacking-group-infiltrated-uk-gov-contractor-and-stole-military-secrets
NCCグループのリサーチャーは、英国政府の軍事的データを盗むために設計された複数のバックドアを発見したと報じています。
中国軍諜報機関に属するAPT15グループ (aka Ke3chang, Mirage, Vixen Panda GREF and Playful Dragon) が英国政府が発注する業務の請負業者に侵入(雇用者として)し、軍事関連文書や機密文書を盗み出したと伝えられています。
RoyalCli、RoyalDNS、BS2005などの3つのバックドア(詳細はGitHub参照)が用いられており、Microsoft Active Directory環境でのSharePoint、IWEBBrowser2 COM、NetBIOS(SMB)を介し、主にPowerShellやpingなどのコマンドを使用して感染活動します。
英国政府のネットワーク・システム構造をよく知る者の犯行と思われます。

コメント

コメントを投稿

このブログの人気の投稿

スフィロミニをスクラッチでうごかす Manipulate Sphero mini on Scratch

2018年11月20日に「Scratch Helper Apps」のバージョン0.8.6が公開されました。 PICAXE has released "Scratch Helper Apps" Version 0.8.6 on November 20, 2018. これを使うとScratch(スクラッチ)からSphero mini(スフィロミニ)を遠隔操作することができます。早速やってみましょう。 This application will assist communication between Scratch and Sphero mini. And you can remotely control Sphero mini. Let's do it. 準備する物 (Preparation) Windows10のパソコン (Windows 10 PC) Sphero mini(スフィロミニ) ★ ヨドバシカメラ などで購入できます。七千円弱? BLED112-V(Silicon Labs / Bluegiga) ★ マルツ などで購入できます。二千円弱? Scratch(スクラッチ) Scratch Helper Apps ミニ知識 スフィロミニはBluetooth(ブルートゥース) Low Enegy(ローエナジー)という規格の無線で通信します。通常のブルートゥースとちがって、省電力用に設計された規格です。パソコンからブルートゥース・ローエナジーに対応したアダプターを使用して通信する必要があります。また、これから使用するS2Bot App for Windowsは、Silicon Labs(シリコンラボ)社のBLED112-V1というアダプタが必要です。 遠隔操作する環境を準備する Windows10パソコン Windows10パソコンを起動します。管理者権限を持つユーザーとしてログインできるとことまでは頑張って準備してください。 スフィロミニも開封してUSBケーブルを挿して充電しておきます。スフィロミニは1時間充電すると、操作方法にもよりますが約1時間操作することができます。 ブルートゥース・ローエナジーアダプター シリコンラボ社製BLED112-V1というブルートゥース・ローエ...
続きを読む

Cent OS 7.5 でタッチパッドが使えなかったのでその対応メモ

Cent OS 7.5 に GNOME デスクトップ環境を構築すると、タッチパッドが使えなかった。 デバイスがロードされていないので、以下の手順でロードした。 ターミナルを起動して、続けて以下の操作を実行する。 [user@host ~]$ sudo vi /etc/default/grub ... GRUB_CMDLINE_LINUX_DEFAULT="... quiet splash i8042.nopnp " ... :wq 赤字のコード「 i8042.nopnp 」を「GRUB_CMDLINE_LINUX_DEFAULT」の項目の最後に追加で書き込んで閉じる。 [user@host ~]$ sudo grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg uEFIのgrub設定を更新する。 [user@host ~]$ sudo echo "blacklist i2c_hid" > /etc/modprobe.d/i2c-hid.conf i2c_hid モジュールが誤ってロードされないようにブラックリストに登録する。 [user@host ~]$ sudo cp -v /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).img.bak initramfs を更新する。 [user@host ~]$ sudo dracut -f && reboot dracut で初期RAMイメージを作成して再起動する。レガシーデバイス(PS/2)として認識されるタッチパッドは、この手順でロードできる。以下のコマンドでロードされた状態を確認できる。 [user@host ~]$ xinit Virtual core pointer ...  ETPS/2 Elantech Touchpad id=13 [slave pointer(2)] ...
続きを読む

Windows Media Playerが起動しない場合の対処方法(2018年12月20日以降)

概要 2018年12月19日、マイクロソフトから「 CVE-2018-8653 | スクリプト エンジンのメモリ破損の脆弱性 」に対する修正アップデートが公開されました。 UEFIかつ搭載メモリが8GB未満の端末でこれを適用すると、.Net Frameworkを使用するアプリケーションが正常に起動しなくなり、「サーバーの実行に失敗しました。」などと悲しい事象に遭遇します。 これを回避するには、 JScript.dllへのeveryoneのアクセス権を無効化する KB 4483187、KB 4483228、KB 4483229、KB 4483230、KB 4483232、KB 4483234、KB 4483235いずれかのアップデートをアンインストールする の実施が必要です。 (1)JScript.dllへのeveryoneのアクセス権を無効化する マイクロソフトによる回避策を引用します。 回避策 JScript.dll へのアクセスの制限 32 ビット コンピューターについては、管理コマンド プロンプトから次のコマンドを入力します。     takeown /f %windir%\system32\jscript.dll     cacls %windir%\system32\jscript.dll /E /P everyone:N 64 ビット コンピューターについては、管理コマンド プロンプトから次のコマンドを入力します。     takeown /f %windir%\syswow64\jscript.dll     cacls %windir%\syswow64\jscript.dll /E /P everyone:N     takeown /f %windir%\system32\jscript.dll     cacls %windir%\system32\jscript.dll /E /P everyone:N 回避策の影響: 既定で、IE11、IE10、および IE9 はこの脆弱性の影響を受けない Jscript9.dll を使用します。この脆弱...
続きを読む